android防止二次打包

二次打包的危害性
如果你没有对你的应用做任何的安全保障措施,那么你的应用就非常的危险
首先了解一下什么是二次打包:
二次打包
通过工具apktool、dex2jar、jd-gui、DDMS、签名工具获取源码，嵌入恶意病毒、广告等行为再利用工具打包、签名，形成二次打包应用。

此文最简单的解决方案：
校验签名：可以在代码中判断签名信息是否被改变过，如果签名不一致就退出程序，以防止 apk 被重新打包。

代码如下：

public class SecondPackage {
    private final static String TAG = "SecondPackage";

    public SecondPackage(Context context) {
        // TODO Auto-generated constructor stub
        this.context = context;
    }

    private Context context;


    /************protect second package*******************/
    private void byte2hex(byte b, StringBuffer buf) {

        char[] hexChars = {'0', '1', '2', '3', '4', '5', '6', '7', '8',

                '9', 'A', 'B', 'C', 'D', 'E', 'F'};

        int high = ((b & 0xf0) >> 4);

        int low = (b & 0x0f);

        buf.append(hexChars[high]);

        buf.append(hexChars[low]);

    }
    /*
    * Converts a byte array to hex string
    */

    public String toHexString(byte[] block) {

        StringBuffer buf = new StringBuffer();


        int len = block.length;


        for (int i = 0; i < len; i++) {

            byte2hex(block[i], buf);

            if (i < len - 1) {

                buf.append(":");

            }

        }

        return buf.toString();

    }

    public boolean getSignInfo() {
        boolean checkright = false;
        try {
            PackageInfo packageInfo = context.getApplicationContext().getPackageManager().getPackageInfo(
                    "com.ctcf.originsign", PackageManager.GET_SIGNATURES);
            Signature[] signs = packageInfo.signatures;
            Signature sign = signs[0];

            String code = String.valueOf(sign.hashCode());
            MessageDigest md = MessageDigest.getInstance("MD5");
            md.update(sign.toByteArray());
            byte[] digest = md.digest();

            String res = toHexString(digest);

            Log.e(TAG, "apk md5:" + res);
            //if (code == xxxxxxxxx) {
            Log.i(TAG, "hashCode:" + code);
            //对比MD5值和hashcode是否和自己原来的MD5相同
//            if (res.equals("dashcode")
//                    && code == MD5值) {
            if (code.equals(Constants.Companion.getPACKAGE_MD5_KEY())) {
                checkright = true;
            } else {
                checkright = false;
            }


            //parseSignature(sign.toByteArray());
        } catch (Exception e) {
            e.printStackTrace();
        }
        return checkright;
    }

    void parseSignature(byte[] signature) {
        try {
            CertificateFactory certFactory = CertificateFactory
                    .getInstance("X.509");
            X509Certificate cert = (X509Certificate) certFactory
                    .generateCertificate(new ByteArrayInputStream(signature));
            byte[] buffer = cert.getEncoded();
            System.out.println("md5: " + new String(buffer));
        } catch (CertificateException e) {
            e.printStackTrace();
        }
    }

}

调用的代码中：

if (!BuildConfig.DEBUG) {
            val sePa = SecondPackage(this)
            if (sePa.signInfo == false) {
                finish()
                return
            }
        }

这种方案纯粹的字符比较都很容易破解掉，添加代码混淆后也比较容易破解。直接在 smali 中全局搜索干掉或修改你的签名验证逻辑就行了，实际上用处不大。
其它靠谱方案
2 签名验证放到 native 层用 NDK 开发
这种验证稍微安全了一点，毕竟能逆向 C 和 C++ 的人要少一些。像我这种现在还不能逆向C的就无能为力了。
但对于能逆向C的同学来说，也是很轻易的就改掉你的验证逻辑，可以考虑加上，毕竟还是有点用的。
3 验证放到服务端
感觉没什么鸟用，直接干掉或修改你接口的判断逻辑的就行了。
4 可以使用第三方对接口请求数据进行验证，比如阿里聚安全，但是不知为毛。阿里聚安全已被下线不再提供服务，如果有其他比较靠谱的三方方案可以留言。一起学习